计算机网络安全课件作者邓亚平第9章节防火墙技术.pptVIP

采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客和网络破坏者等）进入内部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性，并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强保密性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最佳地方。 （8）防火墙也可以成为向客户发布信息的地点。 1．用户账号策略 2．用户权限策略 3．信任关系策略 4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： ? 包过滤控制点； ? 包过滤操作过程； ? 包过滤规则； ? 防止两类不安全设计的措施； ? 对特定协议包的过滤。 （1）包过滤控制点 （2）包过滤操作过程 （3）包过滤规则 （4）防止两类不安全设计的措施 （5）对特定协议包的过滤 5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。 2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多个网络接口同时处于活跃状态，从而能够向内部网用户提供多个网络服务的机器。 （2）建议用户选择较为熟悉的UNIX操